研究人員Federico Andres Lois發現推特的推薦演算法存在漏洞,能讓有心人士發動類似阻斷服務(denial of service)的攻擊,造成目標帳號的名譽評分降低
研究人員Federico Andres Lois發現推特「為你推薦」演算法程式碼存在漏洞。
推特開源推薦演算法才公布一個星期,就被研究人員發現有漏洞,可導致用戶帳號遭到惡意屏蔽(shadow banning)攻擊。
所謂惡意屏蔽是指在社交媒體或部落格上,對用戶推文或文章施行封鎖、消音、負面評論等方法,使其帳號在社交平臺評等降低,導致其他用戶無法讀取其推文,但用戶本身並不知道自己遭到懲罰。
推特在上周為實現馬斯克(Elon Musk)平臺運作透明化的承諾,而開源其「為你推薦」區呈現推文的演算法。研究人員Federico Andres Lois在檢視演算法程式碼時發現,當中存在漏洞,使攻擊者透過控制大量用戶帳號形成殭屍網路(botnet),對特定帳號聯合發送負面訊號,像是取消追蹤、消音、封鎖、檢舉等行為,形成類似阻斷服務(denial of service)的攻擊,造成其名譽評分降低。該漏洞已被列為CVE-2023-23218,從3月起已發生多起攻擊。但技術細節並未公布。
欲複製這種攻擊,攻擊者也可以號召一群觀點相同的使用者,以任何理由封鎖特定帳號,就可以產生DoS攻擊。此類手法可以被政黨或組織用來攻擊不同觀點的其他使用者。
Lois指出,這種攻擊中,使用者不知道自己推文被屏蔽,就算知道也無法改變行為來回復,而且這類攻擊效果會累積,無論作者本身怎麼推文,都抵不過眾多負面訊號造成的減分效果。
推特執行長馬斯克回應,若有人能糾出殭屍網路攻擊的元兇並使其定罪,將犒賞百萬美元。
事實上,若撇開漏洞不談,惡意屏蔽或許並不是真的惡意,而是真的被取消關注了。例如馬斯克今年2月發現其推文觸及率降低,他相信有引發惡意屏蔽的臭蟲,但旗下工程師拒絕幫他解決「臭蟲」,認為只是粉絲對他不再感興趣。但這位工程師遭到馬斯克開除,這位CEO很快就叫其他人解決掉該問題。
iThome Security
2023-04-17
2023-04-17
2023-04-17
2023-04-17
2023-04-17
2023-04-11
2023-04-14
2023-04-17
